„für die Verarbeitung Verantwortlicher“ umfasst den Betreiber einer bei einem sozialen Netzwerk – wie Facebook – unterhaltenen Fanpage

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

URTEIL DES GERICHTSHOFS (Große Kammer)

5. Juni 2018(*)

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht, bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten – Art. 2 Buchst d – Für die Verarbeitung personenbezogener Daten Verantwortlicher – Art. 4 – Anwendbares nationales Recht – Art. 28 – Nationale Kontrollstellen – Einwirkungsbefugnisse dieser Stellen“

In der Rechtssache C‑210/16

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesverwaltungsgericht (Deutschland) mit Entscheidung vom 25. Februar 2016, beim Gerichtshof eingegangen am 14. April 2016, in dem Verfahren

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

gegen

Wirtschaftsakademie Schleswig-Holstein GmbH,

Beteiligte:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten A. Tizzano (Berichterstatter), der Kammerpräsidenten M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský und E. Levits, der Richter E. Juhász, A. Borg Barthet und F. Biltgen, der Richterin K. Jürimäe sowie der Richter C. Lycourgos, M. Vilaras und E. Regan,

Generalanwalt: Y. Bot,

Kanzler: C. Strömholm, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 27. Juni 2017,

unter Berücksichtigung der Erklärungen

– des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, vertreten durch Rechtsanwälte U. Karpenstein und M. Kottmann,

– der Wirtschaftsakademie Schleswig-Holstein GmbH, vertreten durch Rechtsanwalt C. Wolff,

– der Facebook Ireland Ltd, vertreten durch Rechtsanwälte C. Eggers, H.‑G. Kamann und M. Braun sowie durch I. Perego, avvocato,

– der deutschen Regierung, vertreten durch J. Möller als Bevollmächtigten,

– der belgischen Regierung, vertreten durch L. Van den Broeck, C. Pochet, P. Cottin und J.‑C. Halleux als Bevollmächtigte,

– der tschechischen Regierung, vertreten durch M. Smolek, J. Vláčil und L. Březinová als Bevollmächtigte,

– Irlands, vertreten durch M. Browne, L. Williams, E. Creedon, G. Gilmore und A. Joyce als Bevollmächtigte,

– der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von P. Gentili, avvocato dello Stato,

– der niederländischen Regierung, vertreten durch C. S. Schillemans und M. K. Bulterman als Bevollmächtigte,

– der finnischen Regierung, vertreten durch J. Heliskoski als Bevollmächtigten,

– der Europäischen Kommission, vertreten durch H. Krämer und D. Nardi als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 24. Oktober 2017

folgendes

Urteil

1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

2 Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (im Folgenden: ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (im Folgenden: Wirtschaftsakademie), über die Rechtmäßigkeit einer Anordnung des ULD gegenüber der Wirtschaftsakademie, mit der dieser aufgegeben wurde, eine auf der Website des sozialen Netzwerks Facebook (im Folgenden: Facebook) unterhaltene Fanpage zu deaktivieren.

Rechtlicher Rahmen

Unionsrecht

3 In den Erwägungsgründen 10, 18, 19 und 26 der Richtlinie 95/46 heißt es:

„(10) Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und ‑freiheiten, insbesondere des auch in Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des [Unions]rechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der [Union] ein hohes Schutzniveau sicherzustellen.

(18) Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der [Union] erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.

(19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

(26) Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist. …“.

4 Art. 1 („Gegenstand der Richtlinie“) der Richtlinie 95/46 sieht vor:

„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“

5 In Art. 2 („Begriffsbestimmungen“) der Richtlinie heißt es:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck

b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder [unionsrechtlichen] Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder [unionsrechtliche] Rechtsvorschriften bestimmt werden;

e) ‚Auftragsverarbeiter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

f) ‚Dritter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

…“

6 Art. 4 („Anwendbares einzelstaatliches Recht“) der genannten Richtlinie sieht in Abs. 1 vor:

„Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an,

a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;

b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet;

c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der [Union] niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen [Union] verwendet werden.“

7 Art. 17 („Sicherheit der Verarbeitung“) der Richtlinie 95/46 bestimmt in den Abs. 1 und 2:

„(1) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(2) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet; der für die Verarbeitung Verantwortliche überzeugt sich von der Einhaltung dieser Maßnahmen.“

8 Art. 24 („Sanktionen“) der Richtlinie sieht vor:

„Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.“

9 In Art. 28 („Kontrollstelle“) der Richtlinie heißt es:

„(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.

(3) Jede Kontrollstelle verfügt insbesondere über:

– Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;

– wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;

– das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.

…“

Deutsches Recht

10 § 3 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) in seiner auf den Sachverhalt des Ausgangsverfahrens anwendbaren Fassung lautet:

„Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

11 In § 11 („Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag“) BDSG heißt es:

„(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. …

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: …

Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

…“

12 § 38 Abs. 5 BDSG bestimmt:

„Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.“

13 § 12 des Telemediengesetzes (TMG) vom 26. Februar 2007 (BGBl. 2007 I S. 179) bestimmt:

„(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.“

Ausgangsverfahren und Vorlagefragen

14 Die Wirtschaftsakademie bietet Bildungsdienstleistungen über eine auf Facebook unterhaltene Fanpage an.

15 Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Insoweit geht aus der Vorlageentscheidung hervor, dass – jedenfalls in dem für das Ausgangsverfahren relevanten Zeitraum – weder die Wirtschaftsakademie noch die Facebook Ireland Ltd auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen haben.

16 Mit Bescheid vom 3. November 2011 (im Folgenden: angefochtener Bescheid) ordnete das ULD als Kontrollstelle im Sinne von Art. 28 der Richtlinie 95/46, die für die Überwachung der Anwendung der von der Bundesrepublik Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslands Schleswig-Holstein (Deutschland) zuständig ist, gegenüber der Wirtschaftsakademie gemäß § 38 Abs. 5 Satz 1 BDSG an, die von dieser unter der Internetadresse https://www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage zu deaktivieren, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Begründet wurde dies damit, dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinwiesen, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebe und diese Daten danach verarbeite. Die Wirtschaftsakademie legte gegen diesen Bescheid Widerspruch ein, mit dem sie im Wesentlichen geltend machte, sie sei nach dem anwendbaren Datenschutzrecht weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich.

17 Mit Bescheid vom 16. Dezember 2011 wies das ULD den Widerspruch mit der Begründung zurück, dass die Verantwortlichkeit der Wirtschaftsakademie als Diensteanbieter gemäß § 3 Abs. 3 Nr. 4 und § 12 Abs. 1 TMG in Verbindung mit § 3 Abs. 7 BDSG begründet sei. Das ULD führte aus, dass die Wirtschaftsakademie durch das Einrichten ihrer Fanpage einen aktiven und willentlichen Beitrag zur Erhebung personenbezogener Daten betreffend die Besucher dieser Fanpage durch Facebook leiste und von diesen Daten durch die ihr von Facebook zur Verfügung gestellten Statistiken profitiere.

18 Die Wirtschaftsakademie erhob beim Verwaltungsgericht (Deutschland) Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht im Sinne von § 11 BDSG mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das ULD direkt gegen Facebook hätte vorgehen müssen, anstatt den angefochtenen Bescheid gegen sie zu erlassen.

19 Das Verwaltungsgericht hob den angefochtenen Bescheid mit Urteil vom 9. Oktober 2013 auf und begründete dies im Wesentlichen damit, dass der Betreiber einer Fanpage bei Facebook keine verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG sei und die Wirtschaftsakademie daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.

20 Das Oberverwaltungsgericht (Deutschland) wies die vom ULD gegen dieses Urteil eingelegte Berufung als unbegründet zurück. Es führte im Wesentlichen aus, dass die Untersagung der Datenverarbeitung im angefochtenen Bescheid rechtswidrig sei, da § 38 Abs. 5 Satz 2 BDSG ein abgestuftes Vorgehen vorsehe, auf dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Datenverarbeitung angeordnet werden dürften. Eine sofortige Untersagung der Datenverarbeitung komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig sei und dieser Mangel nur durch die Einstellung dieses Verfahrens beseitigt werden könne. Dies sei jedoch hier nicht der Fall gewesen, da Facebook die Möglichkeit gehabt habe, die vom ULD behaupteten Verstöße zu beseitigen.

21 Weiter führte das Oberverwaltungsgericht aus, dass der angefochtene Bescheid auch deswegen rechtswidrig sei, weil eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG ergehen könne, was die Wirtschaftsakademie aber hinsichtlich der von Facebook erhobenen Daten nicht sei. Über den Zweck und die Mittel der Erhebung und Verarbeitung der im Rahmen der Funktion Facebook Insight genutzten personenbezogenen Daten entscheide nämlich allein Facebook, da die Wirtschaftsakademie selbst allein anonymisierte, statistische Informationen erhalte.

22 Das ULD hat beim Bundesverwaltungsgericht (Deutschland) Revision eingelegt, mit der es u. a. eine Verletzung von § 38 Abs. 5 BDSG rügt und verschiedene Verfahrensfehler geltend macht, die sich seiner Ansicht nach auf die Entscheidung des Berufungsgerichts auswirken. Es sieht den Verstoß der Wirtschaftsakademie in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters, hier Facebook Ireland, mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts. Die mit dem angefochtenen Bescheid gegenüber der Wirtschaftsakademie erlassene Anordnung, ihre Fanpage zu deaktivieren, ziele daher auf die Beseitigung dieses Verstoßes, da sie ihr die weitere Nutzung der Facebook‑Infrastruktur als technischer Grundlage ihres Webauftritts untersage.

23 Das Bundesverwaltungsgericht ist wie das Oberverwaltungsgericht der Ansicht, dass die Wirtschaftsakademie selbst nicht als im Sinne von § 3 Abs. 7 BDSG oder Art. 2 Buchst. d der Richtlinie 95/46 für die Verarbeitung der Daten verantwortlich angesehen werden könne. Gleichwohl geht es davon aus, dass dieser Begriff im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen sei, wie dies auch der Gerichtshof in seiner jüngsten einschlägigen Rechtsprechung anerkannt habe. Außerdem hat es in Anbetracht dessen, dass der für die Erhebung und Verarbeitung personenbezogener Daten innerhalb des Facebook-Konzerns auf Unionsebene Verantwortliche Facebook Ireland ist, Zweifel hinsichtlich der Befugnisse, die dem ULD im vorliegenden Fall gegenüber Facebook Germany zustehen. Schließlich sei fraglich, welche Bedeutung für die Zwecke der Ausübung der Einwirkungsbefugnisse des ULD der Beurteilung der für Facebook Ireland zuständigen Kontrollstelle bezüglich der Rechtmäßigkeit der in Rede stehenden Verarbeitung personenbezogener Daten zukomme.

24 Unter diesen Umständen hat das Bundesverwaltungsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:

1. Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt, oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 dieser Richtlinie und der „wirksame[n] Einwirkungsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 dieser Richtlinie in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne von Art. 2 Buchst. d dieser Richtlinie für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für ihr Informationsangebot?

2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 der Richtlinie 95/46, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen „Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet“, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne von Art. 2 Buchst. e dieser Richtlinie verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?

3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4 und Art. 28 Abs. 6 der Richtlinie 95/46 die Kontrollstelle eines Mitgliedstaats (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaats zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?

4. Sind Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaats (hier: Deutschland) besteht, die u. a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann, oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaats (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?

5. Sind die Art. 4 Abs. 1 Buchst. a sowie Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaats (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 dieser Richtlinie wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaats, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?

6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 dieser Richtlinie übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaats (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?

Zu den Vorlagefragen

Zur ersten und zur zweiten Frage

25 Mit der ersten und der zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen sind, dass sie es zulassen, dass die Verantwortlichkeit einer Stelle in ihrer Eigenschaft als Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung, ein soziales Netzwerk für die Verbreitung ihres Informationsangebots zu nutzen, festgestellt wird.

26 Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass die Richtlinie 95/46, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehnten Erwägungsgrund ergibt, darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom 11. Dezember 2014, Ryneš, C‑212/13, EU:C:2014:2428, Rn. 27 und die dort angeführte Rechtsprechung).

27 Diesem Ziel entsprechend ist der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d der Richtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

28 Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 34).

29 Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.

30 Es ist festzustellen, dass im vorliegenden Fall in erster Linie die Facebook Inc. und, was die Union betrifft, Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheiden, die die auf Facebook unterhaltenen Fanpages besucht haben, und somit unter den Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 fallen, was in der vorliegenden Rechtssache nicht in Zweifel gezogen wird.

31 Zur Beantwortung der vorgelegten Fragen ist jedoch zu prüfen, ob und inwieweit der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie im Rahmen dieser Fanpage gemeinsam mit Facebook Ireland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann.

32 Insoweit schließt offenbar jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.

33 Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.

34 Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.

35 Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.

36 In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.

37 Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

38 Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.

39 Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.

40 Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

41 Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.

42 Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.

43 Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

44 Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Zur dritten und zur vierten Frage

45 Mit der dritten und der vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind, dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt, oder ob es Sache der Kontrollstelle des letztgenannten Mitgliedstaats ist, diese Befugnisse gegenüber der zweiten Niederlassung auszuüben.

46 Das ULD und die italienische Regierung haben Zweifel hinsichtlich der Zulässigkeit dieser Fragen geäußert, da diese für die Entscheidung des Ausgangsrechtsstreits nicht relevant seien. Adressat des angefochtenen Bescheids sei nämlich die Wirtschaftsakademie, so dass sich dieser Bescheid weder auf die Facebook Inc. noch auf eine von deren im Unionsgebiet ansässigen Tochtergesellschaften beziehe.

47 Hierzu ist darauf hinzuweisen, dass es im Rahmen der mit Art. 267 AEUV eingerichteten Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts ist, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen. Betreffen daher die vorgelegten Fragen die Auslegung des Unionsrechts, ist der Gerichtshof grundsätzlich gehalten, darüber zu befinden (Urteil vom 6. September 2016, Petruhhin, C‑182/15, EU:C:2016:630, Rn. 19 und die dort angeführte Rechtsprechung).

48 Im vorliegenden Fall ist darauf hinzuweisen, dass das vorlegende Gericht geltend macht, dass die Beantwortung der dritten und der vierten Vorlagefrage durch den Gerichtshof für die Entscheidung des Ausgangsrechtsstreits erforderlich sei. Es führt nämlich aus, dass in dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

49 Unter diesen Umständen sind die dritte und die vierte Frage zulässig.

50 Zur Beantwortung dieser Fragen ist zunächst darauf hinzuweisen, dass nach Art. 28 Abs. 1 und 3 der Richtlinie 95/46 jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats durch das nationale Recht übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (vgl. in diesem Sinne Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 51).

51 Die Frage, welches nationale Recht auf die Verarbeitung personenbezogener Daten anwendbar ist, ist in Art. 4 der Richtlinie 95/46 geregelt. Nach dessen Abs. 1 Buchst. a wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Klarstellend heißt es in dieser Vorschrift, dass der Verantwortliche, wenn er eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, die notwendigen Maßnahmen ergreift, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

52 Aus dieser Vorschrift in Verbindung mit Art. 28 Abs. 1 und 3 der Richtlinie 95/46 geht somit hervor, dass dann, wenn das nationale Recht des Mitgliedstaats der Kontrollstelle nach Art. 4 Abs. 1 Buchs. a dieser Richtlinie anwendbar ist, weil die in Rede stehende Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung im Hoheitsgebiet dieses Mitgliedstaats Verantwortlichen ausgeführt wird, diese Kontrollstelle sämtliche Befugnisse ausüben kann, die ihr durch dieses Recht gegenüber dieser Niederlassung übertragen wurden, und zwar unabhängig davon, ob der für die Verarbeitung Verantwortliche auch in anderen Mitgliedstaaten Niederlassungen unterhält.

53 Um zu bestimmen, ob eine Kontrollstelle unter Umständen wie denen des Ausgangsverfahrens berechtigt ist, gegenüber einer im Hoheitsgebiet ihres Mitgliedstaats ansässigen Niederlassung die Befugnisse auszuüben, die ihr durch das nationale Recht übertragen wurden, ist somit zu prüfen, ob die beiden Voraussetzungen nach Art. 4 Abs. 1 Buchst. a der Richtlinie 96/46 vorliegen, d. h. zum einen, ob es sich um eine „Niederlassung …, die der für die Verarbeitung Verantwortliche … besitzt“, im Sinne dieser Vorschrift handelt, und zum anderen, ob diese Verarbeitung „im Rahmen der Tätigkeiten“ dieser Niederlassung im Sinne dieser Vorschrift ausgeführt wird.

54 Was erstens die Voraussetzung anbelangt, wonach der für die Verarbeitung personenbezogener Daten Verantwortliche im Hoheitsgebiet des Mitgliedstaats der betreffenden Kontrollstelle eine Niederlassung besitzen muss, ist darauf hinzuweisen, dass es im 19. Erwägungsgrund der Richtlinie 95/46 heißt, dass eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetzt und dass die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, in dieser Hinsicht nicht maßgeblich ist (Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 28 und die dort angeführte Rechtsprechung).

55 Im vorliegenden Fall steht fest, dass die Facebook Inc. als gemeinsam mit Facebook Ireland für die Verarbeitung personenbezogener Daten Verantwortliche in Deutschland über eine dauerhafte Niederlassung verfügt, nämlich Facebook Germany, die in Hamburg ansässig ist, und dass die letztgenannte Gesellschaft in diesem Mitgliedstaat effektiv und tatsächlich Tätigkeiten ausübt. Sie stellt daher eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dar.

56 Was zweitens die Voraussetzung anbelangt, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ der betreffenden Niederlassung ausgeführt werden muss, ist zunächst darauf hinzuweisen, dass die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden kann (Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 25 und die dort angeführte Rechtsprechung).

57 Sodann ist darauf hinzuweisen, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 nicht verlangt, dass diese Verarbeitung „von“ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird (Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 52).

58 Im vorliegenden Fall geht aus der Vorlageentscheidung und den von Facebook Ireland eingereichten schriftlichen Erklärungen hervor, dass Facebook Germany für die Förderung des Verkaufs von Werbeflächen verantwortlich ist und Tätigkeiten ausübt, die für in Deutschland wohnhafte Personen bestimmt sind.

59 Wie in den Rn. 33 und 34 des vorliegenden Urteils ausgeführt, hat die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die durch die Facebook Inc. gemeinsam mit Facebook Ireland ausgeführt wird und in der Erhebung solcher Daten mittels Cookies besteht, die auf den Computern oder jedem anderen Gerät der Besucher auf Facebook unterhaltener Fanpages gesetzt werden, u. a. zum Ziel, es diesem sozialen Netzwerk zu ermöglichen, sein Werbesystem zu verbessern, um die von ihm verbreiteten Mitteilungen zielgerichteter zu gestalten.

60 Wie der Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt hat, ist aber aufgrund dessen, dass zum einen ein soziales Netzwerk wie Facebook einen wesentlichen Teil seiner Einnahmen aus der Werbung erwirtschaftet, die auf den eingerichteten Webseiten eingeblendet und von den Nutzern aufgerufen wird, und zum anderen die in Deutschland ansässige Facebook-Niederlassung die Aufgabe hat, in diesem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen zu sorgen, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen, anzunehmen, dass die Tätigkeiten dieser Niederlassung als mit der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten, für die die Facebook Inc. gemeinsam mit Facebook Ireland verantwortlich ist, untrennbar verbunden anzusehen sind. Diese Verarbeitung ist somit als im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen ausgeführt im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 anzusehen (vgl. in diesem Sinne Urteil vom 13. Mai 2014 Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 55 und 56).

61 Da nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten deutsches Recht anwendbar ist, folgt daraus, dass die deutsche Kontrollstelle gemäß Art. 28 Abs. 1 dieser Richtlinie zuständig war, dieses Recht auf diese Verarbeitung anzuwenden.

62 Folglich war diese Kontrollstelle zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, gegenüber Facebook Germany Gebrauch zu machen.

63 Klarzustellen ist noch, dass der vom vorlegenden Gericht in seiner dritten Frage hervorgehobene Umstand, dass die strategischen Entscheidungen hinsichtlich der Erhebung und Verarbeitung personenbezogener Daten bezüglich Personen, die im Unionsgebiet wohnhaft sind, von einer in einem Drittland ansässigen Muttergesellschaft – im vorliegenden Fall der Facebook Inc. – getroffen werden, nicht geeignet ist, die Zuständigkeit der dem Recht eines Mitgliedstaats unterliegenden Kontrollstelle gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung des für die Verarbeitung dieser Daten Verantwortlichen in Frage zu stellen.

64 Nach alledem ist auf die dritte und die vierte Vorlagefrage zu antworten, dass die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

Zur fünften und zur sechsten Frage

65 Mit der fünften und der sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

66 Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass, wie aus der Antwort auf die erste und die zweite Vorlagefrage hervorgeht, Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass er es unter Umständen wie denen des Ausgangsverfahrens ermöglicht, im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten die Verantwortlichkeit einer Stelle wie die Wirtschaftsakademie in ihrer Eigenschaft als Betreiber einer bei Facebook unterhaltenen Fanpage festzustellen.

67 Daraus folgt, dass die Kontrollstelle des Mitgliedstaats, in dessen Hoheitsgebiet die verantwortliche Stelle ihren Sitz hat, nach Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 und 3 der Richtlinie 95/46 zuständig ist, ihr nationales Recht anzuwenden und somit gegenüber dieser Stelle von sämtlichen, ihr durch dieses nationale Recht übertragenen Befugnissen gemäß Art. 28 Abs. 3 dieser Richtlinie Gebrauch zu machen.

68 Wie Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 vorsieht, nehmen die Kontrollstellen, die mit der Überwachung der Anwendung der von dem Mitgliedstaat, dem sie unterstehen, zur Umsetzung dieser Richtlinie erlassenen Vorschriften beauftragt sind, im Hoheitsgebiet dieses Mitgliedstaats die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 40).

69 Außerdem sorgen die Kontrollstellen zwar nach Art. 28 Abs. 6 Unterabs. 2 der Richtlinie 95/46 für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, jedoch sieht diese Richtlinie weder irgendein Prioritätskriterium vor, das das Eingreifen der Kontrollstellen im Verhältnis untereinander regeln würde, noch schreibt sie vor, dass die Kontrollstelle eines Mitgliedstaats verpflichtet wäre, dem gegebenenfalls von der Kontrollstelle eines anderen Mitgliedstaats geäußerten Standpunkt zu folgen.

70 Somit ist eine Kontrollstelle, deren Zuständigkeit nach nationalem Recht anerkannt ist, in keiner Weise verpflichtet, sich das Ergebnis, zu dem eine andere Kontrollstelle in einer entsprechenden Situation gelangt ist, zu eigen zu machen.

71 Insoweit ist darauf hinzuweisen, dass aufgrund dessen, dass die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, jede von ihnen zu der Prüfung befugt ist, ob bei einer Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 47).

72 Da Art. 28 der Richtlinie 95/46 seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung kommt, auch wenn eine Kontrollstelle eines anderen Mitgliedstaats eine Entscheidung getroffen hat, muss eine Kontrollstelle, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen, ob bei der Verarbeitung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 57).

73 Daraus folgt, dass im vorliegenden Fall das ULD nach dem mit der Richtlinie 95/46 geschaffenen System befugt war, die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen.

74 Daher ist auf die fünfte und die sechste Frage zu antworten, dass Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

Kosten

75 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

Share this content:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*